Consulta sobre sniffing

[School]

Me temo que no, que es perfectamente posible obtener la contraseña de hotmail de un correo ajeno sin necesidad de hacer que el dueño pinche en ningún enlace, sólo con estar en la LAN y usando algunas herramientas.

Vamos a ver no me saqueis las cosas de contexto, evidentemente el que le ha robado repetidas veces la cuenta no va ha estar enganchado con un cable en su lan y creo recordad que dijo que no era inalambrica, por tanto el bug de hotmail que habia ya esta resuelto y te puedes despreocupar.

Netbios xDD jajaja mira en el supuesto caso de que este abierto lo normal es que solo pueda acceder a la carpeta mis documentos, impresoras, etc etc me refiero a archivos compartidos y aunque tuviera acceso a todo como dije anteriormente la ip cambia, por tanto que me expliquen como averigua tu ip y tampoko ha podido subirle un troyano por el 139.

En mi opinion nadie se va a tomar la molestia de amenazarte, asi que yo apostaria por alguien conocido y que usa un troyano de conexion inversa simplemente porque es lo mas facil.

Chausss

Postea la imagen de lo que te salio con el netstat y ya te diremos, los puertos de los troyanos son siempre los mismo ya que el 99% de la gente que usa no saben ni que se puede cambiar.

[Ktorce]

los puertos de los troyanos son siempre los mismo ya que el 99% de la gente que usa no saben ni que se puede cambiar.

XD, amen!!, totalmente de acuerdo.

Nos tienes intrigados en saber como coño te hacen eso. Ya que si aun formateando, con ip dinamica, te puede seguir juankeando, a mi solo se me ocurre, o un conocido que pueda localizarte (envio de archivos por DCC, o algo asi para localizar la ip), o el tema del bug de hotmail.

Sabrías decirnos en el periodo de tiempo que te ha pasado esto?( ej: desde hace un año hasta ahora)

Salu2

[ABODUJANA]

Yo lo veo + simple...

Puede tratarse de un "troyano de carne y hueso" (desde dentro)

[j8k6f4v9j]

Vamos a ver no me saqueis las cosas de contexto, evidentemente el que le ha robado repetidas veces la cuenta no va ha estar enganchado con un cable en su lan y creo recordad que dijo que no era inalambrica, por tanto el bug de hotmail que habia ya esta resuelto y te puedes despreocupar.

No saco nada de contexto. Repito que cuando un punto de acceso/router con capacidad inalámbrica tiene un cliente conectado a través de cable puede ser que difunda los paquetes ARP por ambas vías, la cableada y la inalámbrica, permitiendo a un atacante realizar una reinyección de tráfico y entrar en la LAN, facilitando el acceso al equipo.

Es una posibilidad bastante probable, mucho más si es alguien conocido. Hasta que él no lo confirme cabe esta posibilidad, que el router tenga esta capacidad aunque el cliente original no la esté usando.

Salu2

Keep on Rollin'

[gundamendles]

No saco nada de contexto. Repito que cuando un punto de acceso/router con capacidad inalámbrica tiene un cliente conectado a través de cable puede ser que difunda los paquetes ARP por ambas vías, la cableada y la inalámbrica, permitiendo a un atacante realizar una reinyección de tráfico y entrar en la LAN, facilitando el acceso al equipo.

Es una posibilidad bastante probable, mucho más si es alguien conocido. Hasta que él no lo confirme cabe esta posibilidad, que el router tenga esta capacidad aunque el cliente original no la esté usando.

Salu2

Keep on Rollin'

Hola, efectivamente tengo un router inalambrico y una de mis computadoras que estan en mi LAN se conectan por este medio. El modelo de mi router es el DI-713p, sin embargo el alcance estan pobre que dudo mucho que alguien se este conectando por afuera.

Aqui les pongo la imagen haciendo netstat -n desde mi computadora (se conecta por cable utp).



Justo ayer vi que mi router tiene una opcion de encriptacion para el wireless, es 128 WEP si no me equivoco, la voy a activar ni bien llegue a mi casa.

Con respecto a lo del messenger, ahora no tengo instalado ese programa y aun no me creo ninguna cuenta de hotmail. Este fin de semana me voy a crear otra cuenta y les avisare cuando pase algo, porque de hecho pasara.

Saludos.

[gundamendles]

Pasa por este post (by LUK):
http://www.hackhispano.com/foro/showthread.php?t=23682
Es sobre un programa sobre la ocultacion completa.
Tambien tienes que tener cuidado sobre el proveedor del SO, por si te vendio algo que serviria como puerta.
Salu2:
rat.

Muchas gracias, ya lei el post y procedere a bajarme la herramienta.

Saludos.

[School]

No estoy usando wireless. Mm...no se como lo hara entonces. Tengo mi computadora totalmente formateada y ni bien creo una cuenta nueva de hotmail me roba el password y se mete a hacer cochinadas .

Gracias.

Ahora si usas wireless?? antes de preguntar aclarate, porque ahora si ahora no perdemos el tiempo.

No saco nada de contexto. Repito que cuando un punto de acceso/router con capacidad inalámbrica tiene un cliente conectado a través de cable puede ser que difunda los paquetes ARP por ambas vías, la cableada y la inalámbrica, permitiendo a un atacante realizar una reinyección de tráfico y entrar en la LAN, facilitando el acceso al equipo.

Como observaras el dijo q no usaba wireless, asi que o yo me he perdido un capitulo o no sabemos ni donde vivimos. Por eso descarte lo del sniffer...

[gundamendles]

Ahora si usas wireless?? antes de preguntar aclarate, porque ahora si ahora no perdemos el tiempo.



Como observaras el dijo q no usaba wireless, asi que o yo me he perdido un capitulo o no sabemos ni donde vivimos. Por eso descarte lo del sniffer...

Disculpa, lo que pasa es que mi computadora no se conecta con wireless, pero la de mi papa si lo hace.

[RaidMan]

Disculpa, lo que pasa es que mi computadora no se conecta con wireless, pero la de mi papa si lo hace.

He ahi el fallo...
Alguna vez te has conectado al messenger con el ordenador de tu padre??
Si es asi ya sabes de donde te sacan la info...
Hace poco me baje una Distribucion de Linux, con un paquete de programas llamado WiFiSLAX... Una maravilla ... el paquete te trae:

-Aircrack
-Aerodump
-Aireplay
-Airpcap
(Estas son para sacar passwords de routers inalambricos)

Y luego te trae una montonera de programillas "chulos" como exploits, sniffers, scaneadores de vulnerabilidades y puertos... etc...


Un ejemplo de las herramientas de Crackeo de passwords

Video

[gundamendles]

He ahi el fallo...
Alguna vez te has conectado al messenger con el ordenador de tu padre??
Si es asi ya sabes de donde te sacan la info...
Hace poco me baje una Distribucion de Linux, con un paquete de programas llamado WiFiSLAX... Una maravilla ... el paquete te trae:

-Aircrack
-Aerodump
-Aireplay
-Airpcap
(Estas son para sacar passwords de routers inalambricos)

Y luego te trae una montonera de programillas "chulos" como exploits, sniffers, scaneadores de vulnerabilidades y puertos... etc...


Un ejemplo de las herramientas de Crackeo de passwords

Video

No,no, si escribo aqui es porque he tratado de descartar todo los demas casos y solo he hecho la conexion desde mi computadora. Mas bien, ya habilite el WEP de mi router XD.

Mas bien aqui les mando lo que me dio el rootkeyrevealer:



Disculpen, pero no se que debo hacer con esos resultados.No tengo programas crackeados,bueno,solo un juego, pero de ahi todo lo tengo original.

[j8k6f4v9j]

Es mucho más fácil realizar una intrusión cuando estás en la LAN, Pero sólo lo indico como una posibilidad. Además, en la experiencia que yo tengo no se puede monitorizar una conversación completa a través de 802.11b, sino sólo los mensajes salientes. Por lo que alguien, de un modo u otro está consiguiendo los logs del messenger de dentro del equipo.

No he descartado ninguna de las posibilidades que aquí se han expuesto.
Formas hay muchas, y una vez en la LAN más aún.

Por ejemplo dns spoofing para colarte un troyano del tipo de los indicdos creo que por School, también explotación directa de alguna vulnerabilidad que brinde shell y, por tanto, acceso al sistema, o directametne que estés compartiendo c: por netbios. Eso debes ser tú quien lo averigüe y quien lo arregle.

En cuanto al malentendido sobre si usaba o no wireless he de explicar que efectivamente la frase "no uso wireless" puede hacer pensar que no está haciendo uso de ningún dispositivo inalámbrico. Pensé que lo estaba haciendo porque mucha gente cree que porque ellos no usan una tarjeta inalámbrica el router no tiene activada esta capacidad, cosa que en la mayoría de casos es incierta y probablemente falsa.

Salu2

Keep on Rollin'

[gundamendles]

Es mucho más fácil realizar una intrusión cuando estás en la LAN, Pero sólo lo indico como una posibilidad. Además, en la experiencia que yo tengo no se puede monitorizar una conversación completa a través de 802.11b, sino sólo los mensajes salientes. Por lo que alguien, de un modo u otro está consiguiendo los logs del messenger de dentro del equipo.

No he descartado ninguna de las posibilidades que aquí se han expuesto.
Formas hay muchas, y una vez en la LAN más aún.

Por ejemplo dns spoofing para colarte un troyano del tipo de los indicdos creo que por School, también explotación directa de alguna vulnerabilidad que brinde shell y, por tanto, acceso al sistema, o directametne que estés compartiendo c: por netbios. Eso debes ser tú quien lo averigüe y quien lo arregle.

En cuanto al malentendido sobre si usaba o no wireless he de explicar que efectivamente la frase "no uso wireless" puede hacer pensar que no está haciendo uso de ningún dispositivo inalámbrico. Pensé que lo estaba haciendo porque mucha gente cree que porque ellos no usan una tarjeta inalámbrica el router no tiene activada esta capacidad, cosa que en la mayoría de casos es incierta y probablemente falsa.

Salu2

Keep on Rollin'

Mm...que extraño,en mi computadora no tengo compartido nada.Bueno,en todo caso estare leyendo mas sobre este tema y asi ver si puedo arreglar mi problemas.

Muchas gracias por su ayuda.

[gundamendles]

Mm...que extraño,en mi computadora no tengo compartido nada.Bueno,en todo caso estare leyendo mas sobre este tema y asi ver si puedo arreglar mi problemas.

Muchas gracias por su ayuda.

Hola, otra vez yo. Tengo una duda. Lo que pasa es que acabo de formatear mi computadora (Otra vez) y hace un rato me conecte al msn.

Al principio todo normal,agregue tan solo a 1 amigo. Ni bien mi amigo me acepto el messenger se desconecto por arte de magia.No perdi conexion,tan solo se desconecto. Hice un chequeo del netstat -n y me salio esto:



Creo que eso que me paso es un metodo para sacar claves,no? Osea se desconecta y luego cuando me reconecto es donde me sacan todo. Ustedes que piensan?

[clarinetista]

A mi me suena a que es lo mismo que hace un phising.
Prueba a usar GAIM en lugar , y mira a ver si no te ocurre lo mismo

[gundamendles]

A mi me suena a que es lo mismo que hace un phising.
Prueba a usar GAIM en lugar , y mira a ver si no te ocurre lo mismo

Hola, lamentablemente ocurre lo mismo. Es mas, por las pruebas que he hecho, puedo concluir que no esta entrando a mi computadora directamente, ya que ocurre lo mismo si acceso desde cualquier computadora dentro de mi LAN.

Estuve leyendo otras cosas y parece que captura los paquetes que se envian por los puertos que usa el messenger. Osea, me esta chequeando el trafico que sale de mi router al internet. Ahora...como hace eso??? Hasta donde se, esos metodos se pueden aplicar siempre y cuando estes dentro de una LAN, pero no fuera de esta,no? O me equivoco?

[j8k6f4v9j]

Puede estar dentro de la LAN del ISP. También puede estar haciendo MAC o IP spoofing con el router. O incluso ser un admin del mismo, quién sabe.

Salu2

Keep on Rollin'

[clarinetista]

¿Siempre que cambias la pass lo haces desde tu propio PC?
Yo probaría a cambiar en otro lado mas seguro, por ejemplo con un Live-CD, así te asegurarías de que es algo de tu segmento de la red.

[gundamendles]

¿Siempre que cambias la pass lo haces desde tu propio PC?
Yo probaría a cambiar en otro lado mas seguro, por ejemplo con un Live-CD, así te asegurarías de que es algo de tu segmento de la red.

No, ultimamente lo he hecho desde mi oficina. Mm...que diferencia hay entre usar el livecd?

Gracias.

[clarinetista]

Que el Live-CD no usa nada de tu equipo.
Es como si fuese otro equipo distinto.
Prueba a hacerlo como te comento y postea los resultados